Wymagania sieciowe platformy Kubernetes z obsługą usługi Azure Arc

W tym temacie opisano wymagania sieciowe dotyczące łączenia klastra Kubernetes z usługą Azure Arc i obsługi różnych scenariuszy platformy Kubernetes z obsługą usługi Arc.

Napiwek

W przypadku chmury publicznej platformy Azure można zmniejszyć liczbę wymaganych punktów końcowych przy użyciu bramy usługi Azure Arc (wersja zapoznawcza).

Szczegóły

Ogólnie rzecz biorąc, wymagania dotyczące łączności obejmują następujące zasady:

• Wszystkie połączenia są tcp, chyba że określono inaczej.
• Wszystkie połączenia HTTP używają protokołów HTTPS i SSL/TLS z oficjalnie podpisanymi i weryfikowalnymi certyfikatami.
• Wszystkie połączenia są wychodzące, chyba że określono inaczej.

Aby użyć serwera proxy, sprawdź, czy agenci i maszyna wykonująca proces dołączania spełniają wymagania sieciowe w tym artykule.

Chmura platformy Azure

Ważne

Agenci usługi Azure Arc wymagają następujących adresów URL ruchu wychodzącego do https://:443 działania. W przypadku *.servicebus.windows.netobiektów websocket należy włączyć dostęp wychodzący na zaporze i serwerze proxy.

Punkt końcowy (DNS)	opis
https://management.azure.com	Wymagane, aby agent nawiązał połączenie z platformą Azure i zarejestrował klaster.
https://<region>.dp.kubernetesconfiguration.azure.com	Punkt końcowy płaszczyzny danych dla agenta umożliwiający wypychanie informacji o stanie i pobieranie informacji o konfiguracji.
https://login.microsoftonline.com https://<region>.login.microsoft.com login.windows.net	Wymagany do pobierania i aktualizowania tokenów usługi Azure Resource Manager.
https://mcr.microsoft.com https://*.data.mcr.microsoft.com	Wymagane do ściągania obrazów kontenerów dla agentów usługi Azure Arc.
https://gbl.his.arc.azure.com	Wymagany do pobrania regionalnego punktu końcowego na potrzeby ściągania certyfikatów tożsamości zarządzanej przypisanej przez system.
https://*.his.arc.azure.com	Wymagane do ściągnięcia certyfikatów tożsamości zarządzanej przypisanej przez system.
https://k8connecthelm.azureedge.net	az connectedk8s connect program Helm 3 służy do wdrażania agentów usługi Azure Arc w klastrze Kubernetes. Ten punkt końcowy jest potrzebny do pobrania klienta programu Helm, aby ułatwić wdrażanie pakietu helm agenta.
guestnotificationservice.azure.com *.guestnotificationservice.azure.com sts.windows.net https://k8sconnectcsp.azureedge.net	W przypadku scenariuszy opartych na połączeniu klastra i w scenariuszach opartych na lokalizacji niestandardowej.
*.servicebus.windows.net	W przypadku scenariuszy opartych na połączeniu klastra i w scenariuszach opartych na lokalizacji niestandardowej.
https://graph.microsoft.com/	Wymagane w przypadku skonfigurowania kontroli dostępu opartej na rolach platformy Azure.
*.arc.azure.net	Wymagane do zarządzania połączonymi klastrami w witrynie Azure Portal.
https://<region>.obo.arc.azure.com:8084/	Wymagane po skonfigurowaniu połączenia klastra .
https://linuxgeneva-microsoft.azurecr.io	Wymagane w przypadku korzystania z rozszerzeń Kubernetes z obsługą usługi Azure Arc.

Aby przetłumaczyć *.servicebus.windows.net symbol wieloznaczny na określone punkty końcowe, użyj polecenia :

GET https://guestnotificationservice.azure.com/urls/allowlist?api-version=2020-01-01&location=<region>

Aby uzyskać segment regionu regionalnego punktu końcowego, usuń wszystkie spacje z nazwy regionu świadczenia usługi Azure. Na przykład region Wschodnie stany USA 2 nazwa regionu to eastus2.

Na przykład: *.<region>.arcdataservices.com powinien znajdować się *.eastus2.arcdataservices.com w regionie Wschodnie stany USA 2.

Aby wyświetlić listę wszystkich regionów, uruchom następujące polecenie:

az account list-locations -o table

Get-AzLocation | Format-Table

Azure Government

Ważne

Agenci usługi Azure Arc wymagają następujących adresów URL ruchu wychodzącego do https://:443 działania. W przypadku *.servicebus.usgovcloudapi.netobiektów websocket należy włączyć dostęp wychodzący na zaporze i serwerze proxy.

Punkt końcowy (DNS)	opis
https://management.usgovcloudapi.net	Wymagane, aby agent nawiązał połączenie z platformą Azure i zarejestrował klaster.
https://<region>.dp.kubernetesconfiguration.azure.us	Punkt końcowy płaszczyzny danych dla agenta umożliwiający wypychanie informacji o stanie i pobieranie informacji o konfiguracji.
https://login.microsoftonline.us <region>.login.microsoftonline.us	Wymagany do pobierania i aktualizowania tokenów usługi Azure Resource Manager.
https://mcr.microsoft.com https://*.data.mcr.microsoft.com	Wymagane do ściągania obrazów kontenerów dla agentów usługi Azure Arc.
https://gbl.his.arc.azure.us	Wymagany do pobrania regionalnego punktu końcowego na potrzeby ściągania certyfikatów tożsamości zarządzanej przypisanej przez system.
https://usgv.his.arc.azure.us	Wymagane do ściągnięcia certyfikatów tożsamości zarządzanej przypisanej przez system.
https://k8connecthelm.azureedge.net	az connectedk8s connect program Helm 3 służy do wdrażania agentów usługi Azure Arc w klastrze Kubernetes. Ten punkt końcowy jest potrzebny do pobrania klienta programu Helm, aby ułatwić wdrażanie pakietu helm agenta.
guestnotificationservice.azure.us *.guestnotificationservice.azure.us sts.windows.net https://k8sconnectcsp.azureedge.net	W przypadku scenariuszy opartych na połączeniu klastra i w scenariuszach opartych na lokalizacji niestandardowej.
*.servicebus.usgovcloudapi.net	W przypadku scenariuszy opartych na połączeniu klastra i w scenariuszach opartych na lokalizacji niestandardowej.
https://graph.microsoft.com/	Wymagane w przypadku skonfigurowania kontroli dostępu opartej na rolach platformy Azure.
https://usgovvirginia.obo.arc.azure.us:8084/	Wymagane po skonfigurowaniu połączenia klastra .

Aby przetłumaczyć *.servicebus.usgovcloudapi.net symbol wieloznaczny na określone punkty końcowe, użyj polecenia :

GET https://guestnotificationservice.azure.us/urls/allowlist?api-version=2020-01-01&location=region

Aby uzyskać segment regionu regionalnego punktu końcowego, usuń wszystkie spacje z nazwy regionu świadczenia usługi Azure. Na przykład region Wschodnie stany USA 2 nazwa regionu to eastus2.

Na przykład: *.<region>.arcdataservices.com powinien znajdować się *.eastus2.arcdataservices.com w regionie Wschodnie stany USA 2.

Aby wyświetlić listę wszystkich regionów, uruchom następujące polecenie:

az account list-locations -o table

Get-AzLocation | Format-Table

Platforma Microsoft Azure obsługiwana przez firmę 21Vianet

Ważne

Agenci usługi Azure Arc wymagają następujących adresów URL ruchu wychodzącego do https://:443 działania. W przypadku *.servicebus.chinacloudapi.cnobiektów websocket należy włączyć dostęp wychodzący na zaporze i serwerze proxy.

Punkt końcowy (DNS)	opis
https://management.chinacloudapi.cn	Wymagane, aby agent nawiązał połączenie z platformą Azure i zarejestrował klaster.
https://<region>.dp.kubernetesconfiguration.azure.cn	Punkt końcowy płaszczyzny danych dla agenta umożliwiający wypychanie informacji o stanie i pobieranie informacji o konfiguracji.
https://login.chinacloudapi.cn https://<region>.login.chinacloudapi.cn login.partner.microsoftonline.cn	Wymagany do pobierania i aktualizowania tokenów usługi Azure Resource Manager.
mcr.azk8s.cn	Wymagane do ściągania obrazów kontenerów dla agentów usługi Azure Arc.
https://gbl.his.arc.azure.cn	Wymagany do pobrania regionalnego punktu końcowego na potrzeby ściągania certyfikatów tożsamości zarządzanej przypisanej przez system.
https://*.his.arc.azure.cn	Wymagane do ściągnięcia certyfikatów tożsamości zarządzanej przypisanej przez system.
https://k8connecthelm.azureedge.net	az connectedk8s connect program Helm 3 służy do wdrażania agentów usługi Azure Arc w klastrze Kubernetes. Ten punkt końcowy jest potrzebny do pobrania klienta programu Helm, aby ułatwić wdrażanie pakietu helm agenta.
guestnotificationservice.azure.cn *.guestnotificationservice.azure.cn sts.chinacloudapi.cn https://k8sconnectcsp.azureedge.net	W przypadku scenariuszy opartych na połączeniu klastra i w scenariuszach opartych na lokalizacji niestandardowej.
*.servicebus.chinacloudapi.cn	W przypadku scenariuszy opartych na połączeniu klastra i w scenariuszach opartych na lokalizacji niestandardowej.
https://graph.chinacloudapi.cn/	Wymagane w przypadku skonfigurowania kontroli dostępu opartej na rolach platformy Azure.
*.arc.azure.cn	Wymagane do zarządzania połączonymi klastrami w witrynie Azure Portal.
https://<region>.obo.arc.azure.cn:8084/	Wymagane po skonfigurowaniu połączenia klastra .
quay.azk8s.cn registryk8s.azk8s.cn k8sgcr.azk8s.cn usgcr.azk8s.cn dockerhub.azk8s.cn/<repo-name>/<image-name>:<version>	Serwery proxy usługi Container Registry dla maszyn wirtualnych platformy Azure w Chinach.

Dodatkowe punkty końcowe

W zależności od scenariusza może być konieczne połączenie z innymi adresami URL, takimi jak te używane przez witrynę Azure Portal, narzędzia do zarządzania lub inne usługi platformy Azure. W szczególności przejrzyj te listy, aby zapewnić łączność z dowolnymi niezbędnymi punktami końcowymi:

• Adresy URL witryny Azure Portal
• Punkty końcowe interfejsu wiersza polecenia platformy Azure na potrzeby obejścia serwera proxy

Aby uzyskać pełną listę wymagań sieciowych dotyczących funkcji usługi Azure Arc i usług z obsługą usługi Azure Arc, zobacz Wymagania dotyczące sieci usługi Azure Arc.

Następne kroki

• Omówienie wymagań systemowych dotyczących platformy Kubernetes z obsługą usługi Arc.
• Skorzystaj z naszego przewodnika Szybki start , aby połączyć klaster.
• Zapoznaj się z często zadawanymi pytaniami dotyczącymi platformy Kubernetes z obsługą usługi Arc.